Im Zuge der fortschreitenden digitalen Transformation des modernen Fahrzeugs etablierten sich sogenannte Security Gateways als fester Bestandteil des Werkstattalltags. Als elektronische Kontrollinstanzen legen sie fest, wie Diagnosewerkzeugen der Zugriff auf cybersicherheitskritische Fahrzeugsysteme im Bereich der Cybersicherheit gestattet wird. Mit der Zeit entpuppte sich diese Maßnahme dabei als wachsendes Hindernis für den freien Werkstattbetrieb unabhängiger Betriebe.
Dies wurde besonders deutlich in einem wegweisenden Fall vor dem Europäischen Gerichtshof. Der stellte fest, dass ein Fahrzeughersteller den freien Fahrzeugzugang über seine Gateway-Lösungen unzulässig eingeschränkt hatte. Die EU hat nun mit einem finalen Rechtstext nachgezogen, der Cybersicherheit gewährleistet und zugleich den chancengleichen Zugang zur Fahrzeugdiagnose für Markenwerkstätten sowie unabhängige Marktteilnehmer sicherstellen soll.
Felix-Matthias Walter, Leiter bei MAHLE Service Solutions, über die praktischen Folgen dieser Neuregelung.
Herr Walter, warum ist dieser Rechtstext so wichtig für die Fahrzeugdiagnose – und warum sollten sich Werkstätten damit befassen?
Der Rechtstext regelt, dass Hersteller unabhängigen Marktteilnehmern einen umfassenden Zugang zur Fahrzeugdiagnose gewähren müssen und somit die Gateway-Lösungen überflüssig macht. Sinnbildlich ist der Vergaser längst vom Steuergerät oder Sensor abgelöst worden. Ersatzteile müssen häufig digital angelernt werden – und damit steigen auch die Anforderungen an Diagnose, Qualifikation und Geschäftsmodelle. Wer künftig wettbewerbsfähig bleiben will, braucht die entsprechenden Tools und die Berechtigung auf die Fahrzeugdaten zugreifen zu können. Als Branche müssen wir sicherstellen, dass wir uns nicht nur technisch, sondern auch regulatorisch frühzeitig auf diese Entwicklung einstellen. Wer heute nur auf das Tagesgeschäft schaut, riskiert, morgen den Anschluss zu verlieren. Daher sollten auch Werkstätten sich jetzt schon mit der Regulierung sehr genau beschäftigen.
Was ändert sich dadurch für die Werkstätten?
Für Werkstätten wird das Diagnosetool künftig noch stärker zum zentralen Arbeitsinstrument. Tätigkeiten über das reine Auslesen von Fehlercodes hinaus gelten als cybersicherheitsrelevant und erfordern eine Autorisierung. Für einfache Arbeiten, etwa das Zurücksetzen der Serviceanzeige, kann eine einmalige Serververbindung zur Beschaffung von Zugangsdaten notwendig sein. Umfangreichere Softwareeingriffe wie das Anlernen neuer Ersatzteile erfordern hingegen eine dauerhafte Online-Verbindung – eine neue Situation für die Werkstätten.
Im Alltag soll sich dies jedoch möglichst wenig bemerkbar machen. Daher ist es die Aufgabe der Diagnosetool-Entwickler, Authentifizierungs- und Verbindungsprozesse im Hintergrund abzubilden, damit sich der Techniker auf die Reparatur konzentrieren kann. Hinzu kommt jetzt, dass der Gesetzgeber den freien Aftermarket ausdrücklich schützt. Basisfunktionen wie das Lesen und Löschen von Fehlercodes im Rahmen gesetzlicher Emissionsprüfungen oder das Auslesen der Fahrzeug-Identifizierungsnummer VIN bleiben ohne Authentifizierung möglich. Servicebetriebe sind zudem weiterhin durch Ausbildung und Kompetenz autorisiert – neu ist lediglich der digitale Nachweis.
Wie positioniert sich MAHLE zum Fahrzeugzugang für unabhängige Werkstätten?
Wir begrüßen, dass es jetzt eine klare und verbindliche Regelung gibt, denn wir unterstützen den freien Aftermarket und damit insbesondere unabhängige Werkstätten. Gerichtsverfahren in diesem Bereich haben gezeigt, dass Cybersicherheit nicht als Vorwand genutzt werden darf, um Marktteilnehmer vom Fahrzeug auszuschließen. Wird unabhängigen Akteuren unrechtmäßig der Fahrzeugzugang verwehrt, muss dies juristisch geklärt werden – und genau das ist jetzt geschehen. Gemeinsam mit unseren Branchenverbänden setzen wir uns dafür ein, dass solche Einschränkungen auch künftig keinen Bestand haben.
Ab Juni gelten die neuen Regeln. Was bedeutet das konkret für MAHLE?
Wir müssen unsere Diagnoselösungen weiterhin an die einzelnen Fahrzeughersteller anpassen. Neu ist, dass wir dabei klare gesetzliche Vorgaben haben. Unsere Geräte müssen je nach Art des Service die passenden Anforderungen der Hersteller an Anmeldung und Verbindung erfüllen. Was wir betonen wollen, ist, dass der neue Rechtsrahmen uns mehr Planungssicherheit und eine verlässliche Grundlage für unsere Entwicklungsarbeit gibt.
Ist das technisch so unkompliziert umsetzbar?
Die Anforderungen sind deutlich komplexer geworden. Zwar hatten wir mit dem MAHLE Cybersecurity Pass (MCS) bereits eine Lösung, die einen zentralen Zugang zu verschiedenen OE-Systemen ermöglicht hat, doch die neue Regulierung geht weiter.
Diagnosetoolhersteller müssen künftig gegenüber dem OEM nicht nur die Identität des Werkzeugs nachweisen, sondern bei fahrzeugverändernden Eingriffen auch die pseudonymisierte Identität der Werkstatt und des ausführenden Mitarbeiters. Das ist technisch anspruchsvoll und muss für jeden OEM und jeweiligen Service individuell umgesetzt werden. Gelten für ein Fahrzeug beim Anlernen eines Bauteils die höchsten Anforderungen, hinterlegen wir diese im Diagnosetool – etwa zur Authentifizierung des Betriebs, zur Onlineverbindung des Tools oder zur Gültigkeitsdauer der Zugriffsrechte. Für die Werkstätten bleibt das unsichtbar; sie sehen nur den Klick, nicht die Prozesse im Hintergrund. Wir sind jedoch gut vorbereitet. Seit geraumer Zeit stehen wir im engen Austausch mit den relevanten OEM, um unsere Diagnosetools frühzeitig und gezielt auf die neuen Anforderungen auszurichten.
Gibt es auch Nachteile bei dieser Gesetzgebung?
Ja, die gibt es auch. Der Entwicklungsaufwand ist erheblich und unsere Abhängigkeit von den Fahrzeugherstellern nimmt zu, weil nur dieser bestimmt welche Anforderungen für welche Art von Service gilt. Wie hoch der Aufwand letztlich ausfällt, hängt stark davon ab, wie transparent und kooperativ die OEMs ihre Systeme öffnen. Zwar sind die Hersteller gesetzlich verpflichtet, die notwendigen technischen Informationen bereitzustellen, doch in der Praxis ist die Umsetzung oft anspruchsvoll. Das bedeutet in der Realität weiterhin eine erhebliche Abhängigkeit der freien Werkstätten vom Entgegenkommen der Fahrzeughersteller. Wir investieren daher erheblich in die technische Integration – das ist eine Belastung, die man offen benennen muss. Aber als Partner der freien Werkstätten sehen wir es als unsere Verpflichtung an, dass Chancengleichheit im Aftermarket nicht nur versprochen, sondern auch in der Praxis umgesetzt wird.
Bis die Regulierung tatsächlich im Werkstattalltag ankommt, dürfte noch Zeit vergehen – oder?
Es gibt Übergangsfristen, das ist richtig – etwa für einzelne technische Anforderungen wie die VIN-spezifische Bereitstellung von Reparaturinformationen. Inhaltlich ist das Thema für den Aftermarket jedoch längst hochaktuell.
Bei MAHLE beschäftigen wir uns mit Cybersicherheit und reguliertem Fahrzeugzugang seit mehreren Jahren und haben uns aktiv in den zwingend notwendigen Regulierungsprozess eingebracht, auch direkt in Brüssel. Wir haben früh erkannt, wohin sich die Entwicklung bewegt, und unsere Lösungen entsprechend vorbereitet. Wir nutzen unsere Erfahrung, um regulatorische Anforderungen in praxistaugliche Lösungen für Werkstätten zu übersetzen. Unser Anspruch ist es, Werkstätten aktiv zu unterstützen und ihnen als starker Partner Sicherheit und Handlungsspielraum zu geben – auch in einem zunehmend regulierten Umfeld.